严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额

区块链资讯SECBIT实验室2018-07-31 19:59:13  阅读 -评论 0

在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969

安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。

另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说totalSupply 的值并非 Token 的真实总量。


目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

安比(SECBIT)实验室已于第一时间向项目方发出预警提示。据悉,派盾(PeckShield)团队也独立发现了该问题。另外安比(SECBIT)实验室风险监控平台显示,存在同样问题的合约还有两个。

该问题已收录至智能合约风险列表, 该列表由安比(SECBIT)实验室发起共建并持续维护的 Token 合约问题列表,我们将不间断更新问题 Token 合约信息。
https://github.com/sec-bit/awesome-buggy-erc20-tokens

安比(SECBIT)实验室提醒项目方应采取措施,及时做好补救工作。我们同时也请普通持币用户保持警惕。安比(SECBIT)实验室再次呼吁,项目方发行 Token 一定要慎之又慎,遵守智能合约安全开发规范,引入安全审计流程,必要的时候采用形式化验证 手段,确保万无一失。

智能合约形式化验证示例:https://github.com/sec-bit/tokenlibs-with-proofs

参考文献

[1] 智能合约风险列表(awesome-buggy-erc20-tokens) https://github.com/sec-bit/awesome-buggy-erc20-tokens

[2] 安⽐(SECBIT)实验室携⼿路印(Loopring)共同发布智能合约风险列表 https://mp.weixin.qq.com/s/XbXlrmt0fi9IgxicmdAF0w

[3] 构造形式化证明,解决智能合约安全问题——你的合约亟待证明 https://mp.weixin.qq.com/s/Dk8FAODv2SeFXmDgGaQduw

[4] tokenlibs-with-proofs https://github.com/sec-bit/tokenlibs-with-proofs

以上数据均由安比(SECBIT)实验室提供

安比(SECBIT)实验室

安比(SECBIT)实验室专注于区块链与智能合约安全问题,全方位监控智能合约安全漏洞、提供专业合约安全审计服务,在智能合约安全技术上开展全方位深入研究,致力于参与共建共识、可信、有序的区块链经济体。

安比(SECBIT)实验室创始人郭宇,中国科学技术大学博士、耶鲁大学访问学者、曾任中科大副教授。专注于形式化证明与系统软件研究领域十余年,具有丰富的金融安全产品研发经验,是国内早期关注并研究比特币与区块链技术的科研人员之一。研究专长:区块链技术、形式化验证、程序语言理论、操作系统内核、计算机病毒。


声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

​历史上的今天:黄金与美元脱钩 而今与比特币共舞

​历史上的今天:黄金与美元脱钩 而今与比特币共舞

48年前的8月15日,时任美国总统尼克松宣布美元与黄金脱钩。直至1973年,主要国家货币与美元脱钩,转向浮动汇率制度,布雷顿森林体系正式解体。48年后的今天,黄金购买力依旧稳健,越来越多的数字货币借助区块链技术应运而生。其中,黄金数字货币也强势进入人们的视野。近期,黄金价格突破1500美元,比特币价格也开始回升。在过去几年市场波动中,比特币和黄金时常出现阶段性的同步走势,这是否意味着比特币在逐渐取

【煊凌科技】什么是区块链浏览器?

【煊凌科技】什么是区块链浏览器?

区块链是一种对内高度透明,对外高度保密的一种技术。如果不是区块链中的节点是无法分享查询系统中的数据的,而区块链的节点和矿工需要查询也是必须在特定的区块链浏览器才可以查询。也就是说,区块链浏览器就是专门给用户浏览查询区块链上信息的工具。在区块链浏览器里,用户至少包括:开发者、持币者、DApp 使用者、矿工、监管、对该区块链感兴趣的人等等。用户的成分主要有区块链系统所处的阶段决定。像公链,在测试网的阶

新泽西州州长签署新法案以建立区块链工作组

新泽西州州长签署新法案以建立区块链工作组

暴走时评:新泽西州州长Phil Murphy最近签署了一项法案S2297,该法案旨在创建所谓的新泽西州区块链计划特别小组。据称,这个工作组的目的是研究区块链解决方案,为新泽西州谋福利。 翻译:Maya 新泽西州州长Phil Murphy最近签署了一项法案S2297,该法案旨在创建所谓的新泽西州区块链计划特别小组。据称,这个工作组的目的是研究区块链解决方案,为新泽西州谋

煊凌科技科普贴|了解区块链原理必须知道这些名词解释(一)

煊凌科技科普贴|了解区块链原理必须知道这些名词解释(一)

一个新技术的发展一般会经历触发期、期望膨胀期、幻想破灭期、复苏期和价值期。区块链技术经过数年的发展已经进入到了复苏期,逐渐向价值期过渡。复苏期也是技术的新科普阶段。接下来将列举与区块链原理相关的名词解释。区块和链区块链通俗地讲就是数字区块加上时间链条的一种分布式储存技术。其中区块是指区块链的基本结构单元,由包含元数据的区块头和包含交易数据的区块主体构成。链则是指通过哈希算法和时间戳把区块联系到一起

区块链简易入门

区块链简易入门

什么是区块链呢?我相信看到这个标题,很多人会说:"不就是比特币么?"其实,比特币等数字货币仅是用的区块链的底层技术,数字货币不等同于区块链。那么这个 "区块链"到底是什么呢?其实是两个东西:一个是区块,一个是链。简单来说,区块链就是把加密数据(区块)按照时间顺序进行叠加(链)生成的永久、不可逆向修改的记录。具体来说,区块链是由一串使用密码学方法产生的数据块组合而成,从创世区块(genesis bl

从金融科技里的核心技术来讲解区块链

从金融科技里的核心技术来讲解区块链

有关于区块链是什么的话题,在时下的中国,可能已经被包括我自己在内的人说成了陈词滥调了。但是每每我们都会看到这样一种情形:一些我们认为已经是常识的概念,却往往别有洞天! 区块链首先是一种社会思潮。它预示着人类社会转型、换代的新时代的到来。区块链的社会学基础是凯文·凯利《失控》一书里观察及论述到的基于生物逻辑的自然、社会、技术的进化规律:分布式、去中心;从边缘到中心再到边缘,从失控到控制再到失控。微

中信银行打造“区块链”信用证结算!

中信银行打造“区块链”信用证结算!

科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

中国信息技术部门成立区块链研究实验室

中国信息技术部门成立区块链研究实验室

暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

麦妖榜
更新日期 2019-08-17
排名用户贡献值
1牛市来了24651
2BitettFan24151
3等待的宿命23810
4六叶树20310
5区块大康19866
6linjm122718775
7天下无双16192
8lizhen00215280
9让时间淡忘14552
10冷风大q11188
返回顶部 ↑